هل التقنيات السحابية آمنة؟ كيف تضمن الأمان السحابي

تتميز التطبيقات السحابية بسهولة الإستخدام والإنتاجية العالية، ولكن يجب عليك توخي الحذر من المخاطر الأمنية التي تهدد التطبيقات السحابية. مرحباً بعصر السحابة. فيما يلي خمسة أشياء يجب عليك فعلها لحماية مؤسستك الغير ربحية.

الخطوة الأولى:  استخدم التطبيقات السحابية في التخزين

تُصنف أية خدمة سحابية لمعالجة أو تخزين البيانات، أو حتى مواقع تحويل الملفات إلى صيغة PDF، على أنها تطبيق سحابي. تعتبر معرفة التطبيقات السحابية التي يستخدمها موظفوك بمثابة الخطوة الأولى للحماية السحابية. غالباً ما تقلل المؤسسات من تقدير عدد التطبيقات السحابية التي تستخدمها.

يجب على المؤسسات الكبرى إجراء فحص شامل من خلال استخدام وسيط أمان وصول سحابي (CASB). أما المؤسسات الصغيرة التي تفتقر لموارد تكنولوجيا المعلومات التي تمكنها من استخدام CASB، فيمكنها عمل استطلاع للموظفين والمتطوعين لمعرفة التطبيقات السحابية التي يستخدمونها.

الخطوة الثانية: تجنب أخطاء مشاركة الملفات

في تقرير بيانات Shadow Data Report، توصلت شركة سيمانتيك إلى أن 29% من رسائل البريد الإلكتروني والمرفقات، بالإضافة إلى 13% من جميع الملفات التي يتم تخزينها سحابياً، تتم مشاركتها على نطاق واسع وتُهدَد بالتسريب.

فيما يلي مثالاً طبيعياً. يقوم أحد الموظفون بإنشاء حساب على مايكروسوفت أوفيس 365 أو جوجل درايف أو بوكس أو دروب بوكس. ثم يقوم الموظف بعد ذلك برفع ملف يحتوي على بيانات سرية، ومشاركة رابط الوصول مع أحد الأشخاص خارج المؤسسة ليس لديه حساب في خدمة مشاركة الملفات هذه. لذلك، تقوم الخدمة السحابية بإنشاء رابط وصول للبيانات من قبل أي شخص لديه هذا الرابط. ثم يقوم الموظف بإرسال الرابط لشريك أو بائع أو أياً كان الشخص الذي يحتاج البيانات.

برغم من أن هذا السيناريو قد يبدو غير ضار تماماً، لكن هذا الرابط هو رابط عام وقد يمثل تهديداً أمنياً لمؤسستك. يمكن اكتشاف رابط الوصول للملف من خلال متتبع ويب يقوم بالبحث عن مصطلحات معينة. يقوم الغرباء الخبيثون بعمل ذلك أحياناً، بحثاً عن اكتشاف سهل يتعلق بشركة. إنه لأمر في غاية الأهمية أن يتم تدريب الموظفين دائماً على عدم ترك ملفات على السحابة لفترة أطول من المطلوب.

يجب توخي الحذر في حال مشاركة معلومات سرية. يمكن للمؤسسات أن تقوم بإستخدام بعض الطرق البسيطة مثل تمييز المحتويات السرية بإستخدام كلمات مثل "سري" أو "خاص" في اسم الملف. يمكن أيضاً أن تستخدم كلمة "سري" في صورة علامة مائية في الملف، لكي يعرف أي شخص يستخدم هذا الملف أن المعلومات المذكورة به سرية.

الخطوة الثالثة: قم بتحديد الموظفين الذين يمثلون خطراً مرتفعاً

للموظفين ذوي الخطر المرتفع مواصفات عديدة، بعضها واقعية والبعض الأخر إفتراضية. يستخدم الموظف ذو الخطر المرتفع نفس كلمة المرور للدخول لجميع حساباته. ينقل الموظف ذو الخطر المرتفع بيانات سرية خارج نظام المؤسسة وإلى بريده الشخصي لإتمام عمله في المنزل أو أثناء سفره. لا يقوم الموظف ذو الخطر المرتفع بغلق حاسوبه أو هاتفه الجوال بكلمة مرور، حيث يترك أجهزته مفتوحة بعد مغادرته.

حينما تتتعامل المؤسسات الكبرى مع الموظفين ذوي الخطر المرتفع، فإنها تستخدم تقنية CASB لمنع انتشار البيانات، والتحكم في الوصول إليها ومشاركتها، بالإضافة لمراقبة الأفعال التي تمثل خطراً مرتفعاً. يمكن للمؤسسات الصغيرة التي لا تمتلك موارد خاصة بتكنولوجيا المعلومات استخدام قدرات أمنية مدمجة تأتي مع التطبيقات السحابية مثل مايكروسوفت أوفيس 365 وجوجل جي سوت وبوكس ودروب بوكس. تأكد من دراية المستخدمين بالسلوكيات التي تمثل خطراً منخفضاً والأخرى التي تمثل خطراً مرتفعاً – يمكن للمؤسسات أن تقوم بذلك بغض النظر عن حجم المؤسسة.

فيما يخص التطبيقات السحابية الرسمية الخاصة بك، تأكد من أن الموظفون يستخدمون حسابات المؤسسة للولوج للمعلومات، بدلاً من استخدام مزيجاً من حسابات شخصية ومهنية. اجعل الوصول للمعلومات عن بعد سهلاً لموظفيك. إنه لمن مصلحتك أن يقوموا بالوصول لبيانات خاصة على النظام تقوم بمراقبتها بدلأ من أن يستخدم الموظف حسابات شخصية لا يمكنك مراقبتها.

وأخيراً، احصل على حل إدارة هوية وتوثيق متعدد العوامل. إذا ما كنتم مؤسسة صغيرة، يمكنك على الأقل جعل كل الأشخاص يستخدمون برنامج لإدارة كلمات المرور. يمكن أن يكون لديكم هذه القدرة بالفعل في حماية نقطة النهاية الخاصة بكم، ولكن إذا لم يكن لديكم هذه القدرة، فأمامكم العديد من المنتجات ذات سعر مناسب تؤدي هذا الغرض.

الخطوة الرابعة: احترس من الممثلين السيئين

عمليات تسجيل الدخول التي يسهل تخمينها وبيانات تسجيل الدخول غير الآمن، تساعد القراصنة والبرمجيات الخبيثة على الوصول للتطبيقات السحابية والوصول لمعلومات سرية. قد يقوم بعض المتطوعين أو الموظفين الذين يشعرون بالإستياء، بالكشف عن بيانات حساسة أو تحميل برمجيات خبيثة أو نشر معلومات سرية أو حذف بيانات قبل مغادرة المؤسسة.

ما الذي يمكنك فعله لأولئك الأشرار؟ يمكنك حماية نقاط النهاية الخاصة بك ضد البرمجيات الخبيثة، حتى لا تؤثر الإصابة على مجموعة المستخدمين لديك ولا على الأنظمة الأخرى. يمكنك تفويض كلمات مرور قوية وطلب تغيير آلى ربع سنوي. هذا فقط يمكنه أن يبقي الأشخاص الخبيثون داخل مؤسستك بعيداً عن حساباتك بعد أن يذهبوا لمنافسيك.

قم بالإستفادة من التوثيق متعدد العوامل في كل مكان تستطيع. وأخيراً، تأكد من وجود قوائم مرجعية ثابته للموظفين والمتطوعين أياً كان دورهم، حتى يقوموا بتعطيل الوصول وحذف البيانات عند المغادرة.

الخطوة الخامسة: ابق حذراً من انتهاكات البيانات

يمكنك رؤية المقالات في الاخبار كل يوم تتحدث عن بائعي تطبيقات سحابية يتعرضون للإختراق. إذا ما حدث ذلك مع الخدمات السحابية في منظمتك فيجب على الشركة التي تزودك بالخدمة أن ترسل لك بريداً أو إشعاراً خاص ببياناتك. هذا بالتحديد صحيح في حال تم كشف بياناتك.

إذا تم اختراق أحد التطبيقات السحابية لديك، قم بإخبار موظفيك ليقوموا بتغيير كلمات مرورهم لهذا التطبيق. ثم افحص البيانات الخاصة بمؤسستك الموجودة على هذا التطبيق السحابي واسأل إذا ما كانت هناك مشكلة تتعرض لها تلك البيانات.

إذا ما كانت لديك بيانات سرية تعرضت للإختراق من هذا النوع، سواء كانت هذه البيانات خاصة بعملائك أو الرعاة أو الموكلين، فربما يتوجب عليك إخبارهم أيضاً. اعقد إجتماعاً بأعضاء فرق تكنولوجيا المعلومات والحقوق القانونية، وناقش معهم أمر هذا الإشعار واطلب نصيحتهم.

بعد قيامك بهذا، يجب عليك أن تحدد إذا ماكنت تريد الإستمرار في استخدام هذا التطبيق السحابي. قد يكون هناك تطبيق سحابي آخر أكثر أماناً ويؤدي نفس الوظيفة.

تُحسّن التطبيقات السحابية سير العمل وتقلل النفقات وتزيد من كفاءة مؤسستك. بالرغم من ذلك، يجب أن تكون على دراية تامة بالمخاطر، ويكون لديك معلومات عن خيارات المراقبة وخطط للرد.

دعوة لإتخاذ إجراء: أمن نفسك

BACK TO TOP